ZeroShell    Forum
   Feed Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      ¿Qué es esto?
      Imágenes
      Licencia
      Anuncios
      Lista de correo
      Forum
      Documentación
      FAQ
      Hardware
      Download
      Actualización on-line
      Kerberos Tutorial  
      Aviso legal
      Contacto


  Más detalladamente:
      Gráficos
      Net Balancer
      Router UMTS
      Antivirus proxy
      Punto de acceso WiFi
      OpenVPN cliente
      Servidor OpenVPN
      QoS
      OpenDNS
      Kerberos 5
      NIS y LDAP
      Certificados X.509
      RADIUS
      Portal Cautivo
      VPN
      Firewall





Web Proxy transparente con Antivirus y la lista negra de URL

El propósito de este documento es describir la creación de un proxy web con un chequeo antivirus de páginas web y listas negras/listas blancas. El documento está dividido en las siguientes secciones:

¿Por qué usar un proxy web con antivirus?

Las páginas Web son cada vez más frecuentemente los medios para que los gusanos y los virus se propagan a través de Internet. Sitios web, ya sea intencionalmente o porque son vulnerables y por lo tanto modificados sin el conocimiento de los autores legítimos, a veces tienen referencias código ejecutable que puede infectar a los ordenadores de los usuarios. Por otra parte, la situación ha empeorado desde que una serie de vulnerabilidades en el sistema de visualización de la imagen ha permitido a los virus que se llevarán en los archivos JPEG. Por último, el creciente uso de los subprogramas de Java es cada vez mayor el número de virus multiplataforma propagarse a través de http y de funcionamiento, independientemente de la plataforma (PC u ordenador de bolsillo, teléfono móvil) o el sistema operativo en el que trabajan.
La mejor solución para este tipo de problema es proporcionar a todos los dispositivos cliente que se conectan a Internet con un buen programa antivirus con protección en tiempo real, comprobando todos los ficheros de entrada única. Sin embargo, esto puede no ser suficiente por dos razones: no hay ningún programa antivirus, incluso los que la firma que tiene los mecanismos de actualización automática, puede proporcionar una garantía del 100% contra todos los virus; ver en tiempo real de contenido que entra es bastante oneroso en términos de cómputo y, en particular en dispositivos cuyo rendimiento no es demasiado bueno, se puede ralentizar el sistema hasta el punto de que los usuarios desactivar la protección antivirus en tiempo real.
Por estas razones, chequeo de virus se realiza cada vez más aguas arriba, antes de posibles virus son capaces de llegar al usuario cliente. En otras palabras, los sistemas centralizados de antivirus se utilizan en los servidores que ofrecen un servicio en particular. El ejemplo más extendido es el de servidores de correo electrónico, que tienen un sistema que analiza los mensajes entrantes y salientes a través de SMTP y analizar los archivos adjuntos en busca de virus. En este caso, la aplicación de controles antivirus en una puerta de enlace SMTP es muy natural, ya que los correos electrónicos están obligados a pasar a través de él, antes de llegar al usuario de la bandeja de entrada. Para el servicio http, esto no es tan insignificante, ya que un cliente de LAN potencialmente puede conectarse directamente a cualquiera de los servidores web, disponible en Internet. La solución a este problema consiste en introducir una entrada de nivel de aplicación a la red local para recoger las solicitudes de cliente http y las remitirá a los servidores web de interés. Este portal aplicación se llama un Proxy Web y puesto que es capaz de interpretar el protocolo http, no sólo sobre la base de filtros de URL, sino que también rompe el contenido está llevando a (HTML, JavaScript, Java Applet, imágenes, ... ) y las exploraciones en busca de virus. Una de las funciones más comunes de la representación hasta ahora ha sido cachés web, es decir, el archivo en el disco de las páginas web que ya han sido visitados, con el fin de acelerar la visualización de las mismas direcciones URL para las solicitudes posteriores. El propósito de esto es también para reducir el consumo de ancho de banda en Internet y uno de los sistemas más conocidos del poder, capaz de realizar las funciones de Web caché es Squid , distribuido con licencia Open Source.
Zeroshell se no integrar Squid, ya que no recoge las páginas web. La tarea de un antivirus se centró en la web y filtrado de contenido, utilizando listas negras de URL, es manejado por HAVP como sistema de representación y ClamAV como el software antivirus. Ambos se distribuyen bajo licencia GPL.

Modo de proxy transparente

Uno de los mayores problemas cuando se utiliza un servidor proxy es la de configurar todos los navegadores web para su uso. Por tanto, es necesario especificar su dirección IP o nombre de host y el puerto TCP en el que responde (por lo general el puerto 8080). Esto podría ser una carga en el caso de redes de área local con numerosos usuarios, pero lo que es peor, no puede garantizar la eliminación de los usuarios contra esta configuración para obtener acceso directo a la web, evitando así la verificación de antivirus, el registro de acceso y listas negras.
Para solucionar este problema, Zeroshell utiliza el modo de proxy transparente que implica automáticamente la captura de las solicitudes de cliente en el puerto TCP 80. Obviamente, para Zeroshell para poder captar estas peticiones web, se debe configurar como gateway de una red, de modo que el tráfico de clientes de Internet pasa a través de él. Zeroshell automáticamente captura de peticiones HTTP si se trata de un nivel 2 de puerta de enlace (bridge entre Ethernet, WiFi o la interfaz VPN) o la capa 3 de puerta de enlace (enrutador). Sin embargo, es importante especificar en qué interfaces de red o subredes IP estas solicitudes deben ser redirigidos. Esto se hace mediante la adición de los llamados HTTP reglas de captura, como se muestra en la figura siguiente:


Configuración de http reglas de captura
Configuración de http reglas de captura


En el ejemplo de la figura, las peticiones HTTP de ETH00 y las interfaces de red ETH03 son capturados. Quedan excluidas de estas peticiones son las dirigidas a los servidores web que pertenece a la subred IP 172.16.0.0/16 y los del cliente con la dirección IP 192.168.0.1. Puede haber varias razones por las que es necesario excluir la intervención del proxy transparente en algunos clientes y otros servidores web. Por ejemplo, un servidor web puede restringir el acceso sólo a los clientes con una dirección IP determinada en su ACL. En este caso, si el proxy capturado peticiones al servidor anterior, se llegaría a través de su IP y esto le impedirá el acceso. Por otra parte, no sería posible autorizar la dirección IP del proxy en las ACL del servidor web, ya que esto significaría permitir el acceso indiscriminado a todos los clientes que utilizan el proxy. Es claro, entonces, que la única solución es evitar la captura de las solicitudes por el proxy transparente.
Por último, tenga en cuenta que las reglas de iptables para redirigir hacia el servicio de proxy (8080 tcp) se sitúan aguas abajo de los que intervienen en la Portal cautivo. Gracias a esto, Portal Cautivo y proxy transparente se puede activar de manera simultánea en la misma interfaz de red.

Configuración y activación del servicio de proxy

Como se ilustra en la figura siguiente, la configuración del proxy de servicio con un chequeo de antivirus es muy simple. Después de configurar el cuadro de Zeroshell para actuar como un router y después de configurar en los clientes como la puerta de enlace predeterminada, o configurarlo como un bridge, e interponerla en un punto de la red LAN en la que los flujos de tráfico hacia y desde la Internet, sólo tiene que permitir a la bandera [Activado] para que el proxy puede empezar a trabajar. Como se menciona en el párrafo anterior, las peticiones web que en realidad son interceptados y sometidos al poder son los que se especifican mediante la configuración de la [HTTP reglas de captura].


De configuración de proxy con interfaz web
De configuración de proxy con interfaz web


Tenga en cuenta que, puesta en marcha del servicio de proxy es muy lento en comparación con otros servicios, y en el hardware que no es muy rápido, puede tardar hasta 30-40 segundos. Esto se debe a la necesidad de las bibliotecas de antivirus ClamAV para cargar y descifrar un gran número de firmas de virus en su memoria. Para evitar que esto bloqueando la interfaz de configuración web y scripts de arranque para los intervalos de tiempo, el servicio se inicia de forma asincrónica. Por lo tanto, cuando el poder está activado o configurado de nuevo, el elemento de estado no se muestra como ACTIVO (verde) de inmediato, pero primero pasa de la situación de partida (naranja), que muestra que el servicio se está cargando las firmas. Para entender cuando el representante que realmente empieza la realización de, haga clic en [Administración] para volver a cargar la página de configuración, o simplemente haga clic en [Log del proxy] para ver el demonio havp los mensajes de inicio. Durante el período de arranque del demonio havp, las reglas de iptables para capturar las peticiones HTTP son retiradas temporalmente, lo que permite el tráfico de Internet fluya con regularidad, pero sin que se analizan en busca de virus.
Pocos elementos de configuración se analizan con más detalle en el siguientes párrafos.

Registro de acceso y privacidad

Al ser una puerta de enlace de aplicaciones capaces de interpretar las peticiones HTTP, con el fin de funcionar correctamente, un proxy web descifra las direcciones URL visitadas por los usuarios. De forma predeterminada, Zeroshell no enviar esta información a los registros del sistema, que, si se asocia con la dirección IP de los clientes que solicitan páginas web, puede ayudar a rastrear el contenido de visitar de los usuarios.
Sin embargo, el registro de esta información puede ser activado mediante la modificación del artículo [Registro de acceso] de "Sólo URL que contiene el virus" a "Cualquier acceso". De esta manera, todas las URL visitadas se registra en el registro de asociados con la dirección IP del cliente. Es necesario, antes de habilitar esta opción, consultar la legislación local en su país para verificar que el registro de las direcciones URL visitadas no es contra las leyes de privacidad nacional.
Por otra parte, es importante tener en cuenta que, como habilitar el NAT en un router de acceso a Internet, cada solicitud de cliente externo es hecho por el propio router, en las peticiones http misma manera que pasa a través de un proxy parecen estar hechos de la dirección IP del servidor proxy. Esto puede causar dificultades en el rastreo de la identidad de un usuario que ha llevado a cabo acciones ilícitas en los servidores remotos. Una posible solución a este problema, que es menos invasivo en términos de privacidad, puede activar el registro de lo Connection Tracking (de la web Zeroshell interfaz [Firewall][Connection Tracking]). De esta manera, cualquier conexión TCP UDP se registra en los registros que muestra la IP de origen, puerto de origen, IP destino y puerto de destino. Por lo tanto, no será posible realizar el seguimiento del contenido de la actividad del usuario, pero un rastro se mantendrá de las conexiones realizadas. Una vez más, en este caso es necesario consultar la legislación local antes de habilitar el seguimiento de conexiones.

Antivirus de verificación de las imágenes

Durante mucho tiempo se pensó que un archivo que contiene una imagen JPEG o GIF no pudo contener un virus, ya que es simplemente compone de datos con formato en un formato preestablecido, interpretables por el sistema de visualización del sistema operativo. Recientemente, sin embargo, alguna imagen de representación componentes han demostrado que son vulnerables si no son actualizados con parches. Una imagen adecuadamente construida puede producir un desbordamiento de búfer (buffer overflow) y ejecutar código arbitrario en el sistema. Es fácil comprender la gravedad de esto, dado que el contenido de la mayoría de hipertexto en la WWW es en la forma de imagen.
HAVP proxy configurado en Zeroshell, por defecto escanea las imágenes utilizando el programa antivirus ClamAV. Sin embargo, en el hardware lento, el escaneo de imágenes podría retrasar la apertura de páginas web con muchas imágenes. En este caso es posible desactivar el escaneo de los archivos que contienen imágenes, mediante el establecimiento de la [Ver imágenes (jpg, gif, png)] opción de "Enabled" a "Disabled"

Actualización automática de firmas de ClamAV

La velocidad con la que los nuevos virus se colocan en Internet e identificado, significa que las firmas antivirus se incrementan y se modifican con frecuencia. La base de datos de ClamAV no es la excepción, que, gracias al demonio freshclam, se puede actualizar en línea a intervalos regulares.
Zeroshell freshclam configura de forma predeterminada para comprobar la base de firmas de 12 veces al día. Este intervalo se puede ajustar con el [número de controles por día] parámetro, desde un mínimo de 1 hasta un máximo de 48 cheques por día. También es importante para establecer el [País del Espejo] correctamente, a través del cual freshclam elige el sitio más cercano desde el que descargar las firmas de virus. Tenga en cuenta, sin embargo, que la actualización periódica es una operación rápida que no genera mucho tráfico, ya que un sistema de actualización diferencial se utiliza.

Listas negras y listas blancas sitio web

A menudo es necesario para bloquear la aparición de una serie de sitios web, ya que su contenido se considera adecuado para los usuarios del servicio web. Un ejemplo es material sólo para adultos, que no debe mostrarse en las computadoras para que los niños tienen acceso. Una solución muy eficaz para este problema es obligar a los clientes web para acceder a Internet a través de un proxy, lo que, a través de software de filtrado de contenidos tales como DansGuardian, examina el contenido de las páginas html bloqueando aquellos cree que pertenecen a una categoría no deseado. Los mecanismos de estos filtros se puede comparar con los de los sistemas antispamming. Desafortunadamente, sin embargo, no está claro si la liberación DansGuardian licencia es compatible para la integración en un sistema como el Zeroshell y, por tanto, no se utilizó con el fin de evitar el riesgo de violación de la licencia.
Por el momento, la única manera de para bloquear o permitir la visualización de páginas web es la inclusión en listas negras y listas blancas de páginas web, como se muestra en la figura.


La configuración de la lista negra de proxy web
La configuración de la lista negra de proxy web


Listas negras y listas blancas consisten en una secuencia de URLs dispuestos en líneas distintas. Cada línea puede corresponder a varias páginas web que el carácter * se utiliza. Para bloquear el sitio http://www.example.com www.example.com/* lugar en la lista negra, mientras que la línea de www.example.com, sin *, sólo bloquear la página principal de este sitio.
La lista blanca tiene prioridad sobre la lista negra. En otras palabras, si una página web, corresponde a un elemento de lista negra y, al mismo tiempo, se encuentra en la lista blanca, se permite el acceso a la página.
Además, tenga en cuenta que el propósito de la lista blanca no es sólo para permitir que el acceso a páginas que de otra manera estarían prohibidas por la lista negra, pero también de eludir comprobar antivirus. Por favor, tome nota de este
. Si el administrador de la LAN quiere adoptar la política de facilitar el acceso a un número limitado de sitios, él puede especificar la línea */* en la lista negra, lo que impedirá el acceso a todas las páginas excepto los incluidos en la lista blanca.

Proxy y antivirus de prueba de función

Básicamente hay dos razones por las que el proxy podría no funcionar correctamente. En primer lugar, es necesario para asegurar si el cuadro de Zeroshell está configurado como un enrutador o un puente, y también que el tráfico desde y hacia Internet va realmente a través de él. En segundo lugar, debe asegurarse de la correcta configuración de la [HTTP reglas de captura], que determinan que las peticiones HTTP son en realidad redirigido hacia el proceso de proxy (havp escucha en 127.0.0.1:8080). En particular, si la captura de solicitud HTTP se impone en una interfaz de red que forma parte de un bridge, usted debe estar seguro de que al menos una dirección IP se ha definido en el segundo.
La forma más sencilla de comprobar si el proxy está funcionando correctamente es permitir temporalmente el registro de todos los accesos y mostrar el registro de proxy, previa solicitud de las páginas web de un cliente.
Una vez seguro de que el proxy captura las peticiones web, como se esperaba, compruebe que el software antivirus ClamAV está funcionando correctamente. Para ello, visita por primera vez en freshclam los registros que las firmas se actualizan regularmente. Luego, vaya a la http://www.eicar.org/anti_virus_test_file.htm URL para comprobar si el virus de prueba EICAR-AV-Test (se dice que son inofensivos por los autores) es capturada y bloqueada.
Por último, tenga en cuenta que el proxy no puede atender las solicitudes HTTPS (HTTP encriptada con SSL/TLS), ya que, no teniendo la clave privada del servidor web, no se puede descifrar el contenido y las URL de esta solicitud encapsulado en los túneles cifrados.



    Copyright (C) 2005-2012 by Fulvio Ricciardi